¿Quién no ha escuchado esa frase hecha según la cual, ya asumida socialmente la actual onda de la inteligencia artificial, llegará la siguiente, la computación cuántica? La hipótesis es imprecisa, pero no es en absoluto falsa. Entretanto, se van extendiendo en la industria las actividades en torno a la criptografía post cuántica, que traducen una preocupación por algo que es altamente probable: que esta disciplina científica se convierta en una amenaza temible para la seguridad de los sistemas de información. Porque a esos extraños artefactos que se ven en las fotografías se les llama computadores por analogía, pero nadie imagina que su destino sea sustituir a los ordenadores de uso corriente.
No los van a sustituir porque, en primer lugar, son mucho peores para las tareas de la vida cotidiana y el trabajo que hoy se hacen con ordenadores cada vez más dopados con IA. A cambio, esas máquinas cuánticas destacan por su capacidad potencial para romper las claves de cifrado actualmente usadas en la protección de esos ordenadores actuales. He ahí la fuente de una inquietud por predecir cuándo será el Día Q, ese momento iniciático en el que “la cuántica” quiebre por primera vez los algoritmos de defensa construidos por los humanos.
De momento – y por bastante tiempo – esas máquinas de dudosa fotogenia se limitan a operar en instituciones científicas, por lo general gubernamentales, con evidente interés académico. Su rendimiento se mide en qubits y esta es una competición ascendente. Pero, al margen de sus objetivos legítimos, la computación cuántica ya se está incorporando sigilosamente al arsenal de la ciberdelincuencia de diverso origen.
Son capaces de interceptar las redes, de digerir el tráfico de operaciones cifradas con las tecnologías actuales – regladas por la norma RSA-2048, que algunos ven envejecidas, pero no tienen reemplazo claro – y de almacenarlos durante el tiempo que haga falta, en espera del funesto Q Day. Los ciberdelincuentes han hecho suya una táctica conocida como harvest now, decrypt later (HNDL) que aguada las circunstancias para montar un ataque.
No es una conjetura de mentes febriles: de esa posibilidad nacen distintas iniciativas para diseñar sobre bases matemáticas herramientas orientadas a resistir los ataques cuánticos que puedan producirse el día después del Q. Se basan esas herramientas en unos estándares de cifrado avalados el año pasado por el NIST) de Estados Unidos. Un estudio difundido por la consultora Bain & Co. sugiere que faltan diez o quince años para queNatiomal Institute of Standards and Technology ( los computadores cuánticos sean lo suficientemente estables como para ocuparse de cargas de trabajo propias de la IA generativa, como el entrenamiento y la inferencia. El almacenamiento no es asunto menor, así como otras limitaciones del hardware (conversión de datos convencionales a información cuántica, o cuellos de botella en la gestión de los qubits). Tampoco es trivial la madurez de loa algoritmos cuánticos (QA) ni la del aprendizaje automático cuántico (QML).
Por lo tanto, el mercado de la ciberseguridad está llamado a ser el primer beneficiario de la computación cuántica y su capacidad de cifrado. Pero también se verá en posición de víctima ante la celeridad con la que los delincuentes acumulan fuerzas. Una de las empresas líderes del sector, Commvault – como otras de su género – se está preparando desde hace tiempo.
Nadie parece capaz de estimar cuándo será el Q Day [entre 2030 y 2035 es la horquilla más frecuentemente citad] y así se desprende de una hoja de ruta de la Comisión Europea . Pero esas son hipótesis oficiales; en la industria se avizora una aceleración inducida por la inteligencia artificial y no son pocos los especialistas que apuestan que no será más allá del 2030. Esta es la fecha plausible para el 70% de los CISO (chief information security officers) según el citado estudio de Bain
Commvault, especialista en protección de datos , ha incorporado a sus soluciones de data protection en la nube los algoritmos recomendados por el NIST para combatir amenazas latentes contra datos de alta sensibilidad y larga duración – típicos en los sectores de finanzas y sanidad – creando para ello una capa de soporte adicional frente a actores indeseables que empleen la computación cuántica como arma para descifrar y bloquear métodos de encriptación convencionales.
La clave de esta nueva oferta se encuentra en el soporte a Hamming Quasi-Cyclic (HQC), algoritmo basado en código de corrección diseñado expresamente para defenderse de las amenazas diferidas HNDL. “Las amenazas cuánticas no son teóricas y nuestro objetivo es hacerles frente sin esperar a que se manifiesten”, afirma Bill O´Connell, chief security officer de la compañía.
“Estamos – dice este – entre los primeros vendedores de ciberresilencia en integrar HQC y en presentar al mercado un conjunto de herramientas para navegar con confianza este complejo paisaje”.
Paisaje que, por cierto, ha motivado numerosos análisis. En uno de ellos, de la organización ISACA , que agrupa a muchos miles de especialistas en auditoría de las TI y ciberseguridad, ha consultado a más de 2.600 profesionales sobre la percepción y grado de preparación en relación con la computación cuántica. El 62% dicen estar preocupados por las grietas profundas de que la computación cuántica podría provocar en Internet, mientras que sólo el 5% lo califica como de alta prioridad.
Al margen de los riesgos, la encuesta reconoce el carácter transformador de la computación cuántica: un 48% se declara optimista en relación al impacto que espera en su propio sector o actividad y el 46% piensa que será la fuente de innovaciones revolucionarias.
Commvault ofrece a los clientes de su plataforma el soporte disponible para unos estándares de cifrado que serían resistentes a ataques cuánticos. En la lista de la NIST aparece un repertorio de nombres exóticos [CRYSTALS- Kyber, CRYSTAL-Dilithium y SPHINCS+ que la compañía ha integrado oportunamente en su framework criptográfico y que debería bastar para que los usuarios puedan hacer frente con prontitud a estas amenazas evolucionadas, sin necesidad de tocar sus sistemas corporativos, a través de la plataforma Commvault Cloud a partir de la reléase CPR 2024 (11.36), según informa la compañía. Esta guerra está larvada. Por ahora.